php防注入,表单提交值转义的实现详解

在开发时,我们要注意防止sql注入,所以在对表单提交过来的值要做相应的处理,才可以把数据更新到数据库里
php横扫千军函数。任何值都可以传过来转换


代码如下:

function quotes($content)    
{    
    //如果magic_quotes_gpc=Off,那么就开始处理    
    if (!get_magic_quotes_gpc()) {    
        //判断$content是否为数组 
        if (is_array($content)) {    
            //如果$content是数组,那么就处理它的每一个单无    
            foreach ($content as $key=>$value) {    
                $content[$key] = addslashes($value);    
            }    
        } else {    
            //如果$content不是数组,那么就仅处理一次    
            addslashes($content);    
        }    
    } else {    
        //如果magic_quotes_gpc=On,那么就不处理    
    }    
    //返回$content    
    return $content;

显示的时候要用 stripslashes ()去掉反斜杠
stripslashes()了,它能把addslashes()处理时自动加上去的(反斜杠)\去掉

(0)

相关推荐

  • 简单实用的PHP防注入类实例

    本文实例讲述了简单实用的PHP防注入类.分享给大家供大家参考.具体如下: PHP防注入注意要过滤的信息基本是get,post,然后对于sql就是我们常用的查询,插入等等sql命令了,下面我给各位整理两个简单的例子,希望这些例子能给你网站带来安全. PHP防注入类代码如下: 复制代码 代码如下: <?php /**  * 参数处理类  * @author JasonWei  */ class Params {     public $get = array();       public $pos

  • php中addslashes函数与sql防注入

    本文实例讲述了php中addslashes函数与sql防注入.分享给大家供大家参考.具体分析如下: addslashes可会自动给单引号,双引号增加\\\\\\,这样我们就可以安全的把数据存入数据库中而不黑客利用,参数'a..z'界定所有大小写字母均被转义,代码如下: 复制代码 代码如下: echo addcslashes('foo[ ]','a..z'); //输出:foo[ ] $str="is your name o'reilly?"; //定义字符串,其中包括需要转义的字符 e

  • PHP利用str_replace防注入的方法

    PHP各种过滤字符函数 复制代码 代码如下: <?php    /**    * 安全过滤函数    *    * @param $string    * @return string    */    function safe_replace($string) {    $string = str_replace('%20','',$string);    $string = str_replace('%27','',$string);    $string = str_replace('%

  • PHP 防注入函数(格式化数据)

    复制代码 代码如下: <? //格式化数据(防止注入) function site_addslashes($string, $force = 0) { !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc()); if(!MAGIC_QUOTES_GPC || $force) { if(is_array($string)) { foreach($string as $key =&

  • php防注入及开发安全详细解析

    1.PHP注入的基本原理程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对 用户输入数据的合法性进行判断,使应用程序存在安全隐患.用户可以提交一段数据 库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入. 受影响的系统:对输入的参数不进行检查和过滤的系统. SQL注入过程 正常来讲,我们通过地址接收一些必要的参数如:页面中我们会使用 2 写入到SQL语句中正常情况:Select * From Table where

  • PHP防注入安全代码

    简述:/*************************    说明:    判断传递的变量中是否含有非法字符    如$_POST.$_GET    功能:防注入    **************************/ 复制代码 代码如下: <?php //要过滤的非法字符      $ArrFiltrate=array("'",";","union");      //出错后要跳转的url,不填则默认前一页      $StrG

  • php SQL防注入代码集合

    SQL防注入代码一 复制代码 代码如下: <?php /** * 防sql注入 * @author: zhuyubing@gmail.com * */ /** * reject sql inject */ if (!function_exists (quote)) { function quote($var) { if (strlen($var)) { $var=!get_magic_quotes_gpc() ? $var : stripslashes($var); $var = str_rep

  • php xfocus防注入资料

    这里没有太深的技术含量,我只是比较简单的谈了谈.(以下操作如无具体说 明,都是基于PHP+MySQL+Apache的情况) 在现在各种黑客横行的时候,如何实现自己php代码安全,保证程序和服务器的安全是一个很重要的问题,我随便看了下关于php安全的资料,并不是很 多,至少比asp少多了,呵呵,于是就想写点东西,来防止这些可能出现的情况.这里没有太深的技术含量,我只是比较简单的谈了谈.(以下操作如无具体说 明,都是基于PHP+MySQL+Apache的情况)      先来说说安全问题,我们首先看

  • php通用防注入程序 推荐

    复制代码 代码如下: function jk1986_checksql() { $bad_str = "and|select|update|'|delete|insert|*"; $bad_Array = explode("|",$bad_str); /** 过滤Get参数 **/ foreach ($bad_Array as $bad_a) { foreach ($_GET as $g) { if (substr_count(strtolower($g),$bad

  • 通俗易懂的php防注入代码

    介绍两种方法吧,首先请把以下代码保存为safe.php放在网站根目录下,然后在每个php文件前加include("/safe.php");即可 : php防注入代码方法一: 复制代码 代码如下: <?php //要过滤的非法字符 $ArrFiltrate=array("'",";","union"); //出错后要跳转的url,不填则默认前一页 $StrGoUrl=""; //是否存在数组中的值 fu

  • 比较好用的PHP防注入漏洞过滤函数代码

    复制代码 代码如下: <?PHP //PHP整站防注入程序,需要在公共文件中require_once本文件 //判断magic_quotes_gpc状态 if (@get_magic_quotes_gpc ()) { $_GET = sec ( $_GET ); $_POST = sec ( $_POST ); $_COOKIE = sec ( $_COOKIE ); $_FILES = sec ( $_FILES ); } $_SERVER = sec ( $_SERVER ); functi

随机推荐